gestion riesgos
Páginas: 6 (1276 palabras)
Publicado: 22 de febrero de 2015
La gestión de riesgos de TI en el marco corporativo
El reto actual del profesional de gestión de riesgos de TI se basa en definir un programa continuo, objetivo, repetible y medible, en el que la evaluación de costes, la valoración de activos y las métricas de rendimiento convivan de manera integrada con el resto de requerimientos corporativos.
La medida del riesgo, la evaluacióny selección de opciones para mitigarlo, gestionando las amenazas que pueden afectar al éxito del negocio, es una disciplina por todos conocida como gestión del riesgo. Sin embargo, la propia definición de riesgo puede variar sustancialmente según la experiencia y formación de cada profesional o del contexto dentro de la organización.
Típicamente cuando un profesional de seguridad de lainformación piensa en riesgo lo hace en términos del impacto que podría suponer en el negocio una pérdida de confidencialidad, integridad o disponibilidad de la información. Sin embargo, y cada día más debido a la madurez de las organizaciones y a los requisitos de cumplimiento, la definición e incluso la catalogación de riesgos es mucho más amplia dentro de lo que la organización considera como riesgoscorporativos dentro del marco del gobierno de la empresa.
La exposición al riesgo operacional en una organización la prodríamos dividir, por ejemplo, en tres grandes áreas: los riesgos inherentes a cualquier entidad, de los procesos que realiza la organización y los relacionados con la estrategia.
Los riesgos inherentes a la entidad abarcan los provenientes de:
Los recursoshumanos. Tales como diferencias con los empleados o dependencias de personas clave para la organización, clima social en la compañía y política social, y exposición al riesgo de conflictos con los sindicatos o los representantes de los empleados.
La regulación. Los requisitos regulatorios suponen un riesgo creciente: es necesario identificar y gestionar las obligaciones de cumplimiento normativo,especialmente en sectores como el financiero, seguros, u hospitalario. Esta gestión dependerá mucho del modelo de negocio o de los países en los que la organización se encuentre. Ejemplos de estas regulaciones son: Sarbanes-Oxley, PCI y DSS.
Los clientes. Se torna necesaria la identificación de los puntos de conflicto con clientes, de las áreas de la compañía más expuestas al fallo en el servicioal cliente, e, incluso, de los tipos más significativos de riesgo reputacional.
El entorno. En él se encuadran las situaciones de riesgo más relevantes relacionadas con agentes externos (tormentas, inundaciones, terremotos, pandemias etc.).
Dentro de los riesgos de los procesos de una organización, se podrían incluir:
Fraude interno y externo. Sería necesario identificar los procesosexpuestos al fraude externo basándonos en la experiencia histórica y en entrevistas con los responsables del proceso de negocio; del mismo modo, habría que identificar los procesos susceptibles de fraude interno, como por ejemplo la venta de información confidencial, relaciones con los proveedores, etc.
Pérdidas generadas por una interrupción del negocio. Sería necesario identificar losprocesos expuestos a una interrupción del servicio, es decir aquellos procesos para los cuales una interrupción puede suponer una pérdida financiera por el abandono del servicio al cliente o incluso por penalizaciones por incumplimiento de pagos o por violación de regulaciones. Este análisis se suele realizar usualmente en el marco de la disciplina de continuidad de negocio.
Pérdidas generadas porerrores en la ejecución. Sería necesario identificar las causas más usuales de error en relación con la complejidad y la automatización del proceso: errores humanos, fallos en la integridad TI... Los procesos en los que estos errores podrían impactar son los de pagos, desarrollo de productos financieros y aquellos con fechas de entrega obligatorias.
Por último, los riesgos relacionados con la...
El reto actual del profesional de gestión de riesgos de TI se basa en definir un programa continuo, objetivo, repetible y medible, en el que la evaluación de costes, la valoración de activos y las métricas de rendimiento convivan de manera integrada con el resto de requerimientos corporativos.
La medida del riesgo, la evaluacióny selección de opciones para mitigarlo, gestionando las amenazas que pueden afectar al éxito del negocio, es una disciplina por todos conocida como gestión del riesgo. Sin embargo, la propia definición de riesgo puede variar sustancialmente según la experiencia y formación de cada profesional o del contexto dentro de la organización.
Típicamente cuando un profesional de seguridad de lainformación piensa en riesgo lo hace en términos del impacto que podría suponer en el negocio una pérdida de confidencialidad, integridad o disponibilidad de la información. Sin embargo, y cada día más debido a la madurez de las organizaciones y a los requisitos de cumplimiento, la definición e incluso la catalogación de riesgos es mucho más amplia dentro de lo que la organización considera como riesgoscorporativos dentro del marco del gobierno de la empresa.
La exposición al riesgo operacional en una organización la prodríamos dividir, por ejemplo, en tres grandes áreas: los riesgos inherentes a cualquier entidad, de los procesos que realiza la organización y los relacionados con la estrategia.
Los riesgos inherentes a la entidad abarcan los provenientes de:
Los recursoshumanos. Tales como diferencias con los empleados o dependencias de personas clave para la organización, clima social en la compañía y política social, y exposición al riesgo de conflictos con los sindicatos o los representantes de los empleados.
La regulación. Los requisitos regulatorios suponen un riesgo creciente: es necesario identificar y gestionar las obligaciones de cumplimiento normativo,especialmente en sectores como el financiero, seguros, u hospitalario. Esta gestión dependerá mucho del modelo de negocio o de los países en los que la organización se encuentre. Ejemplos de estas regulaciones son: Sarbanes-Oxley, PCI y DSS.
Los clientes. Se torna necesaria la identificación de los puntos de conflicto con clientes, de las áreas de la compañía más expuestas al fallo en el servicioal cliente, e, incluso, de los tipos más significativos de riesgo reputacional.
El entorno. En él se encuadran las situaciones de riesgo más relevantes relacionadas con agentes externos (tormentas, inundaciones, terremotos, pandemias etc.).
Dentro de los riesgos de los procesos de una organización, se podrían incluir:
Fraude interno y externo. Sería necesario identificar los procesosexpuestos al fraude externo basándonos en la experiencia histórica y en entrevistas con los responsables del proceso de negocio; del mismo modo, habría que identificar los procesos susceptibles de fraude interno, como por ejemplo la venta de información confidencial, relaciones con los proveedores, etc.
Pérdidas generadas por una interrupción del negocio. Sería necesario identificar losprocesos expuestos a una interrupción del servicio, es decir aquellos procesos para los cuales una interrupción puede suponer una pérdida financiera por el abandono del servicio al cliente o incluso por penalizaciones por incumplimiento de pagos o por violación de regulaciones. Este análisis se suele realizar usualmente en el marco de la disciplina de continuidad de negocio.
Pérdidas generadas porerrores en la ejecución. Sería necesario identificar las causas más usuales de error en relación con la complejidad y la automatización del proceso: errores humanos, fallos en la integridad TI... Los procesos en los que estos errores podrían impactar son los de pagos, desarrollo de productos financieros y aquellos con fechas de entrega obligatorias.
Por último, los riesgos relacionados con la...
Leer documento completo
Regístrate para leer el documento completo.